web-dev-qa-db-fra.com

Qu'est-ce qui est stocké dans% windir% \ system32 \ logfiles \ wmi \ rtbackup?

Je remarque occasionnellement dans l'activité du disque dur du moniteur de ressources liée aux fichiers ETL dans le dossier C:\Windows\system32\logfiles\wmi\rtbackup.

quel processus/service crée ces fichiers ETL et quel est leur but?

Le moniteur de ressources montre "système" comme processus correct depuis les traces ETW (c'est ce que les fichiers ETL sont) sont créés par le noyau. Mais je suis intéressé par le processus qui provoque la création des traces.

Cela se produit sur Windows 7, au fait.

17
Helge Klein

J'ai trouvé la réponse moi-même après avoir creusé un peu plus.

Le répertoire C:\Windows\System32\LogFiles\WMI\RtBackup stocke des fichiers de trace ETW (extension .etl) pour des sessions de trace d'événement en temps réel. En regardant dans le répertoire RTBackup, il est un peu difficile car par défaut, seuls System dispose des autorisations, mais mon application STUDIO SETACL peut quand même afficher le contenu de toute façon. Lorsque vous mettez le contenu du répertoire à côté de la liste des sessions de trace d'événement en cours d'exécution, on remarque immédiatement les similitudes:

enter image description here

enter image description here

Toutes les traces d'événement ne génèrent pas un fichier dans la répertoire RTBackup. Comme le nom du répertoire l'indique, il stocke des sauvegardes pour temps réel Trace Sessions. La comparaison de la liste des fichiers dans RTBackup à chaque propriétés de la trace confirme ceci:

enter image description here

10
Helge Klein

J'espérais que ce serait une réponse facile, mais je suppose que je devrais forcer une lecture/écriture du fichier ou savoir quand cela se produit. En tout état de cause, c'est ce que j'ai essayé d'espérer un seul off. Vous aurez besoin du gérer utilitaire de Sysinternals.

\path\to\handle.exe | find /i "etl"

Bonne chance et bonne chasse.

2
songei2f